Аутентификация и безопасность почты
Несколько вопросов по аутентификации почты
В настройках всех почтовых программ есть такие пункты как
тспользовать ssl шифрование
использовать TSL шифрование
Как я понимаю, SSL это шифрование всего трафика, в том числе и при аутоентификации (пересылка пароля, логина, самой информации сообщения)
TLS то же самое, но протокол TLS немного более новый, и насколько я знаю до конца так и не стандартизированный.
А вот с аутоентификацией:
есть протоколы
1 открытый текст
2 Login
3 Plain
4 Gram md5
5 Digest md5
6 NTLM
7 GSSAPI
8 APOP
Что они означают, кроме открытого текста?
Да все они похожи:
Протоколы с использованием md5 предполагают обмен сообщениями вида:
На сервере хранятся пароли в открытом виде, что не очень хорошо. Протокол считается устаревшим.
NTLM – похожего вида протокол "запрос-ответ" made in Microsoft.
GSSAPI – попытка сделать универсальный протокол, связывающий другие протоколы аутентификации, в т.ч. Kerberos. Кажется он не получил рапространения.
APOP аналогичен Cram md5
Лучше использовать сертификаты и SSL/TLS для шифрования всего почтового трафика вместе с аутентификацией, а эти протоколы IMHO медленно устаревают.
Народ, а кто знает как при генерации сертификата х.509 изменить purposes чтоб они не все были отмечены, а только те, которые я захочу.
сертификат генерю с использованием OpenSSL
:?:
Вопрос снимаю, т.к. уже сам разобрался....
Нужно было внимательней читать man...
лишние purposes убираются просто: в openssl.cnf в extensions который будет использоваться для подписания сертификата клиента надо поставить значение critical в extendedKeyUsage
Если будут вопросы – обращайтесь.
8)